Beiträge

July 20, 2020

Zurück zum Dosentelefon!

Nachdem die Berliner Datenschutzbehörde bereits eine Checkliste und einen Leitfaden zum Einsatz von Videokonferenz-Tools veröffentlichte, hat sie nun einige Anbieter genauer unter die Lupe genommen und Ihre Einschätzungen in einer Übersicht zu Videokonferenz-Tools mit Beurteilung im Ampel-Schema präsentiert. Ohne weiteres einsetzbar ist danach keiner der geprüften Anbieter. Wie nach den vorhergehenden Veröffentlichungen zu erwarten, steht die Ampel bei den gängigsten Tools Microsoft Teams, Skype, Zoom, Google Meet oder GoToMeeting auf rot. Grund ist aus Sicht der Behörde jeweils eine unzureichende Vereinbarung über die Auftragsverarbeitung. Unmittelbare Folge der Einschätzung ist bereits eine öffentlichkeitswirksame Auseinandersetzung mit Microsoft. Unabhängig davon, ob man die Ergebnisse der Behörde teilt, bleibt zu hoffen, dass nun ein Dialog einsetzt, der insbesondere bei US-Anbietern zu klareren Regelungen führt und so die Rechte der Verantwortlichen stärkt. Mit Wegfall des Privacy Shields ist nämlich klar, dass die Texte ohnehin angepasst werden müssen.



BfDI: Löschpflicht durch Anonymisierung erfüllbar

Den deutschen Aufsichtsbehörden wird ja gerne vorgehalten, dass diese viel zu zurückhaltend klare Vorgaben machen. Nicht so der Bundesbeauftragte: Der hat sich kürzlich festgelegt, dass eine Löschpflicht gem. Art. 17 DSGVO durch eine Anonymisierung erfüllbar sei. Voraussetzung hierfür ist, dass die personenbezogenen Daten rechtmäßig erhoben wurden und dann so anonymisiert werden, dass der Personenbezug nicht oder nur unter unverhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskräften wiederhergestellt werden kann. Rechtsgrundlage bildet Art. 6 Abs. 1 lit. c) i. V. m. Art. 17 Abs. 1 lit. a) DSGVO. Zudem empfiehlt der BfDI die Durchführung eine Datenschutzfolgenabschätzung. Der BfDI macht damit besonders für datengetriebene und -intensive Geschäftsmodelle relevante Vorgaben.



Breaking News: Privacy Shield ist unwirksam

Er hat es wieder getan – die Beschwerde des österreichischen Datenschützers Schrems bringt nach dem Safe-Harbor-Abkommen nun auch dessen Nachfolger, das EU-US-Privacy-Shield, zu Fall.

Der EuGH urteilte, dass das Privacy- Shield- Abkommen kein Schutzniveau auf dem Level der DSGVO sicherstellt, insbesondere da Betroffenen kein Rechtsweg offensteht, der ihnen dem Unionsrecht vergleichbare Rechtsgarantien zusichert. So sei die eingerichtete Ombudsperson für Datenschutzbeschwerden nicht befugt, für US-Behörden verbindliche Entscheidungen zu treffen. Inhaltlich überrascht das Urteil nicht. Wir haben das in der Ausgabe 05/2019 vorhergesagt. Das Abkommen kaschierte die Mängel des Safe-Harbor-Abkommens nur unzureichend und war politisch motiviert, um den Datenfluss in die USA nicht abreißen zu lassen. Dass Schutzmechanismen, wie Zusagen der Obama-Regierung , spätestens in der aktuellen politischen Lage wertlos sind, liegt auf der Hand.

Die Standardvertragsklauseln hält der EuGH dagegen nicht für unwirksam, jedoch sei vor einem Datentransfer unter diesen Klauseln zu prüfen, ob in dem Zielland der nach EU-Recht erforderliche Schutz durch die Standardvertragsklauseln tatsächlich gewährleistet werden kann. Hier dürften die Gründe, die den Privacy Shield zu Fall brachten, wiederum durchschlagen. Die Berliner Datenschutzaufsicht verlangt bereits den Wechsel zu europäischen Anbietern. Was konkret zu tun ist, finden Sie in unserer Handlungsempfehlung zum Urteil.



BGH zur Cookie Einwilligung

Komisch –  der „opposite day“, an dem man immer das Gegenteil von dem sagt, was man meint, ist eigentlich am 25. Januar. Trotzdem hat der BGH in seiner Entscheidung Cookie-Einwilligung II schon jetzt festgestellt, dass Nicht-Nein Ja und zu viel Information zu wenig sein kann.

Das für technisch nicht notwendige Cookies nach der Cookie-Richtlinie eine ausdrückliche Einwilligung einzuholen ist, was nicht durch vorausgewählte Checkboxen erfolgen kann, hatte der EuGH bereits im letzten Sommer festgestellt. Dem BGH blieb da in seiner Entscheidung nicht mehr viel hinzuzufügen, außer der erstaunlichen Feststellung, dass die deutsche Regelung in § 15 Abs. 3 TMG, die ausdrücklich nur einen Widerspruch vorsieht, durchaus als Einwilligungserfordernis verstanden werden könne.

Ähnlich konträr ist die Feststellung, dass eine (zweite) Werbeeinwilligung deswegen nicht „in Kenntnis der Sachlage“ erfolgt, weil sie zu viele Informationen zu den einbezogenen Werbepartnern enthält.  Wäre heute der 25.01., würde ich sagen – Super Entscheidung, BGH!



July 7, 2020

DSK zur E-Mail-Verschlüsselung

Die Datenschutzkonferenz formuliert in ihrer Orientierungshilfe von Ende Mai 2020 Anforderungen an eine sichere Übermittlung personenbezogener Daten per E-Mail. Verantwortliche seien zumindest verpflichtet, den verschlüsselten Empfang lediglich zu ermöglichen, denn die Verantwortung für den einzelnen Übermittlungsvorgang liegt beim Sender. Versendet der Verantwortliche personenbezogene E-Mails, seien Verantwortliche verpflichtet mindestens eine Transportverschlüsselung sicherzustellen, ggf. auch eine Ende-zu-Ende-Verschlüsselung (S/MIME; OpenPGP). Auch machen die Behörden verpflichtende Vorgaben für Berufsgruppen, die nach § 203 StGB verpflichtet sind. Beißt sich das nicht mit dem jeweiligen Berufsrecht? Die Behörden verkennen, dass Art. 32 DSGVO eine situationsabhängige Abwägung der Sicherheitsmaßnahmen zulässt. So kann auch eine komplett unverschlüsselte E-Mail-Kommunikation vertretbar sein, besonders wenn der Betroffene selbst die E-Mail-Kommunikation unverschlüsselt eröffnet. Das kann auch mal jemand den Berliner Bezirksämtern und Senatsverwaltungen sagen.



July 1, 2020

Cookies – die letzte?

Wir erinnern uns: Im Oktober urteilte der EuGH nach Vorlage durch den BGH, dass technisch nicht erforderliche Cookies – die mit den Komfort- oder Tracking-Funktionen – nur noch mit aktiver Einwilligung des Nutzers gesetzt werden dürfen. Der BGH folgte nun diesen Vorgaben und hat es sogar geschafft, dass sich der jahrelange Widerspruch zwischen § 15 Abs. 3 Satz 1 TMG und seinem europäischen Pendant einfach in Luft auflöst. Naja, zaubern kann auch der BGH nicht, denn im TMG steht immer noch, dass Cookies zulässig sind „sofern der Nutzer dem nicht widerspricht“, während die europäische Gesetzgebung die aktive Einwilligung fordert. Einfach das TMG richtlinienkonform entgegen dem ausdrücklichen Wortlaut ausgelegt, fertig. Eine praxisgerechte Lösung hätten wir uns anders vorgestellt, etwa im Hinblick auf statistische Auswertungen. Aber was soll’s. Das letzte Feigenblatt für eine Opt-out-Gestaltung ist damit jedenfalls weg.



June 8, 2020

Woher haben Sie diese Nummer? – Umfang des Auskunftsanspruchs

Einen hartnäckigen Fall hatten die Richter des AG Wertheim und des LG Mosbach da anscheinend vor sich. Es brauchte erst ein Zwangsgeld, um den Auskunftsanspruch nach Art. 15 DSGVO durchzusetzen. Die Auskunft wurde zwar größtenteils erbracht. Zur Herkunft der Daten erteilte die Beklagte nur die allgemeine Info, diese stammten aus einem Bezahlvorgang. Mehr wollte die Beklagte nicht sagen, da die Daten offenbar von einem Dritten verwendet wurden. Die DSGVO ist an dieser Stelle aber ausnahmsweise recht eindeutig: Der Auskunftsanspruch erfasst alle verfügbaren Informationen zur Herkunft. Das LG Mosbach sah das genauso. Dies fordere eine genaue Auskunft über die Herkunft und die für die Erhebung verwendeten Mittel. Auch wenn ein Dritter Daten einer anderen Person verwendet, bleiben diese dennoch personenbezogenen Daten dieser Person. Und vor sich selbst müssen die eigenen Daten nicht geheim gehalten werden.



June 2, 2020

Lost in (Co-Working) Space

Die DSGVO gilt seit nun exakt zwei Jahren. In den viel älteren und viiieeel cooleren Co-Working-Spaces scheint sie bislang allerdings nicht angekommen zu sein. Wer hier nach den Maßnahmen des Betreibers in Sachen Daten- und Geheimnisschutz sowie IT-Sicherheit sucht, findet alles, aber nichts Brauchbares: beschriftete Wände, Barhocker ohne Bar, „Premium-Annehmlichkeiten“, Prokrastinationspartner, „Besprechungssituationen“ in der Größe von Umzugskartons und ganz viel WLAN. Und eine Women’s Corner mit Kinderspielecke (Warum bitte nicht für Väter??). Es gibt zwar Datenschutzerklärungen der Betreiber, allerdings nur für ihre Website. Die Nutzer aber benötigen technische und organisatorische Maßnahmen des Betreibers! Verschlüsseltes Netzwerk, „rückstandsloses“ Drucken und Nutzen der Präsentationstechnik, Telefonie ohne Mithörer, Arbeiten ohne Shoulder Surfer etc. Ein NDA löst das Problem übrigens nicht. Es drohen Bußgelder und unerkannte Vertragsbrüche. Ähnliches gilt übrigens auch bei der gewerblichen Untermiete.



May 18, 2020

EUR 50.000 Bußgeld wegen falscher Auskunft und fehlendem AV-V

Für jemand anderen nach Art. 15 DSGVO zu beauskunften, ist offenbar auch ein Geschäftsmodell – aber eins mit Tücken. Ein Unternehmen im Brandenburgischen hatte einen Dienstleister mit der Auskunft beauftragt, der auf die Betroffenenanträge in englischer Sprache und unter eigenem Logo antwortete. Für die Betroffenen war so nicht ersichtlich, wer denn nun gem. Art. 24 DSGVO für die Verarbeitung verantwortlich war. Außerdem gab’s entgegen Art. 28 Abs. 9 DSGVO keinen schriftlichen AV-Vertrag – das kleine Einmaleins der DSGVO. „Setzen, 6!“ meinte da die märkische Aufsichtsbehörde, monierte fehlende Transparenz und Verständlichkeit sowie das Fehlen der schriftlichen AV-Vereinbarung und verdonnerte das Unternehmen zu 50.000 EUR Geldbuße. Applaus für den Dienstleister! Dann vielleicht doch lieber selbst machen? Wir helfen auch dabei.



May 11, 2020

Was KUGst du!?

Seit Mai 2018 beurteilt sich das Fotografieren von Personen in der Regel nach der DSGVO, nicht mehr nach dem Kunsturhebergesetz (KUG). Dies schafft praktische Probleme, da anders als nach dem KUG eine Einwilligung nach DSGVO jederzeit ohne weitere Voraussetzungen widerrufen werden kann.  Nun versagte das OVG Rheinland-Pfalz einem Lehrer die nachträgliche Entfernung seiner Bilder aus dem Schul-Jahrbuch unter Berufung auf das KUG. Auf das gedruckte Buch findet die DSGVO mangels automatisierter Datenverarbeitung keine Anwendung mehr. Das Gericht sah in den Klassenfotos Bildnisse der Zeitgeschichte, für die keine Einwilligung erforderlich sei. Außerdem habe der Lehrer auch durch seine Teilnahme an dem gestellten Foto seine Einwilligung konkludent erteilt. Widerrufe er diese nun, verhalte er sich widersprüchlich. Nach DSGVO wäre diese Bindung an das Vorverhalten nicht möglich gewesen. Das zeigt, dass das KUG das bessere Gesetz für den Umgang mit Bildern ist.



April 14, 2020

Online-Bestellung bei Apotheke als Gesundheitsdaten?

Dies hat das OLG Naumburg nun für den Vertrieb von apothekenpflichtigen Medikamenten über Amazon so entschieden. Aus deren Bestellung ergäben sich Information über die Gesundheit des Käufers. Diese seien damit sensible Gesundheitsdaten nach Art. 9 DSGVO. Dass die Bestellung auch für Dritte erfolgen könne, ließ das Gericht nicht gelten. Für die Verarbeitung dieser Daten gilt aber die Rechtsgrundlage Vertragserfüllung nicht. Auch die  verschiedenen Spezialtatbestände des Art. 9 DSGVO waren nicht einschlägig. Somit hätte eine Einwilligung eingeholt werden müssen. Diese muss bei sensiblen Daten anders als in sonstigen Fällen ausdrücklich erfolgen. Ohne diese fehlte der Apotheke die Rechtsgrundlage für die Verarbeitung der Bestellung. Dieser Verstoß war nach Auffassung des OLG auch über § 3a UWG durch einen Mitbewerber abmahnbar.



April 6, 2020

Ruf mich an! Oder warte mal…

Das Double-Opt-In-Verfahren (DOI) zur Verifizierung von E-Mail-Adressen zur werblichen Nutzung sollte mittlerweile jedem ein Begriff sein. Während dieses Verfahren für das E-Mail-Marketing bereits genügend Untiefen birgt, versuchte sich ein Versicherungsvermittler am DOI zur Verifizierung von Telefonnummern per E-Mail. Denn nach § 7 Abs. 2 Nr. 2 UWG ist Telefonwerbung gegenüber Verbrauchern generell nur nach deren vorheriger ausdrücklicher Einwilligung zulässig. Trotzdem gab es Ärger mit der Aufsichtsbehörde, und auch das VG Saarlouis  erkannte, dass da kein notwendiger Zusammenhang zwischen der im Online-Formular eingetragenen E-Mail-Adresse und der angegebenen Telefonnummer bestehen müsse. Also ist das DOI ungeeignet zum Nachweis einer Einwilligung des Anschlussinhabers in die Nutzung der Telefonnummer zu Werbeanrufen. Wie man diese aber verifizieren soll, überlässt der Gesetzgeber der Risikofreude der Werbetreibenden. Wir beraten Sie gern zu den Schattierungen von Grau.



March 16, 2020

Was zu beauskunften wäre

Transparenz ist einer der Grundsätze der DSGVO. Auf ihm beruht z. B. das Auskunftsrecht des Betroffenen gem. Art. 15 DSGVO. Demnach hat der Verantwortliche dem Betroffenen auf Anfrage eine ganze Reihe an Informationen über die Verarbeitung der Daten des Betroffenen zur Verfügung zu stellen. Welche das genau sein müssen, regelt die DSGVO leider nur mehr oder weniger klar. Fallstricke für Verantwortliche sind hier vorprogrammiert. Die Vorgabe, „die Empfänger oder Kategorien von Empfängern“ der personenbezogenen Daten zu nennen, setzte ein Unternehmen so um, dass die Kategorien zusätzlich mit Beispielen versehen wurden. Dem AG Wertheim (12.12.2019 – 1 C 66/19) war das zu intransparent. So auch die Nennung der Datenarten statt des konkreten Datums, obwohl Art. 15 DSGVO nur von den Datenkategorien spricht. Die Folge: 15.000 EUR Zwangsgeld. Das was man hat, sei auch zu beauskunften.



March 9, 2020

Obacht bei der Arbeitszeiterfassung per Fingerprint

Das Arbeitsgericht Berlin (Urteil vom 16.10.2019 – 29 Ca 5451/19) hatte über die datenschutzrechtliche Zulässigkeit der Arbeitszeiterfassung mittels Fingerprints zu entscheiden. Da es sich bei der Verarbeitung von Fingerprint-Daten um biometrische Daten und damit um besonders schutzwürdige personenbezogene Daten handelt, darf diese Form der Zeiterfassung nur in engen Grenzen durchgeführt werden. Das Gericht hat festgestellt, dass die Verarbeitung von biometrischen Fingerprint-Daten für die Durchführung des Arbeitsverhältnisses nicht erforderlich war, § 26 Abs. 1 und Abs. 3 BDSG. Eine andere Bewertung der Erforderlichkeit könnte zum Beispiel dann vertretbar sein, wenn mit dem „händischen“ System der Zeiterfassung nachweislich Missbrauch betrieben würde. Nach Ansicht des Arbeitsgerichts hätte der Arbeitgeber von den Beschäftigten eine datenschutzrechtliche Einwilligung in die Arbeitszeiterfassung per Fingerprint einholen müssen. Dies hatte der Arbeitgeber allerdings nicht getan.



March 2, 2020

Kein DOI = Datenschutzverstoß?

Ein zwölfjähriger Junge aus Österreich erhält auf seine E-Mail-Adresse Kontaktanfragen. Er bekommt über zwei Profile bei zwei Dating-Plattformen regelmäßig eindeutige Nachrichten. Wo ein Kumpel „Glückwünsch!“ ruft, regt sich ein Vater auf – und beschwert sich bei der österreichischen Datenschutz-Aufsichtsbehörde. Und hier wird es für Sie relevant: Diese hat nämlich festgestellt, dass ein fehlendes Double-Opt-In-Verfahren (DOI) einen Datenschutzverstoß darstellt.

Konkret: Wenn ein Anbieter eines Internet-Portals eine Nutzer-Registrierung zulässt, ohne die eingegebene E-Mail-Adresse zu verifizieren, verstößt er mangels hinreichender technischer und organisatorischer Maßnahmen zum Schutz der Vertraulichkeit gegen Art. 32 DSGVO! Und so war es hier: zwar gab es eine DOI-Mail. Den Aktivierungs-Link musste man aber zur Nutzung der Portale nicht klicken. Eine Einladung zum Missbrauch fremder E-Mail-Adressen.



February 20, 2020

EuGH zur Videoüberwachung – du darfst!

Wir Datenschützer waren in den letzten Monaten nicht unbedingt von EuGH-Urteilen gesegnet, die uns das Leben einfacher gemacht hätten. Nach dem Cookie-Urteil im Oktober wandten sich viele von uns in weiser Voraussicht lieber den Rezepten für Omas Weihnachtsplätzchen zu. Doch dann, kurz vor der Bescherung, entschied der EuGH (Az. C-708/18), dass die Hürden für eine zulässige Videoüberwachung ohne Einwilligung gar nicht mal so hoch sind: Eine Beeinträchtigung des berechtigten Interesses am Schutz von Eigentum und Personen muss nicht zuvor bereits eingetreten sein. Außerdem ist die Verhältnismäßigkeit der Videoüberwachung unter Berücksichtigung der konkreten Umsetzung zu beurteilen: Läuft die Videoüberwachung nur nachts bzw. außerhalb der üblichen Betriebszeiten? Werden nur Gemeinschafts- und Eingangs- und Zugangsbereiche erfasst? Was sind die technischen Fähigkeiten der Videoüberwachungsanlage?



February 13, 2020

Allianz für Cyber-Sicherheit – wir sind dabei!

HK2 Rechtsanwälte und HK2 Comtection GmbH sind seit Ende 2019 Teilnehmer der Allianz für Cyber-Sicherheit. Sie wurde 2012 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem Ziel gegründet, die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken. Die Initiative unterstützt Unternehmen dabei, sich kurzfristig auf eine äußerst dynamische Bedrohungslage einstellen zu können, indem der Austausch von Informationen, Wissen und Erfahrungen zum Umgang mit Cyber-Risiken ermöglicht und Sicherheitskompetenzen stetig ausgebaut werden.
Derzeit engagieren sich 4088 Teilnehmer, 122 Partner und 96 Multiplikatoren im Rahmen der Initiative, darunter IT-Dienstleistungs- und -Beratungsunternehmen, IT-Hersteller und Anwenderunternehmen aller Größen und Branchen. Wir freuen uns auf einen informativen Austausch am Puls der Cyber-Sicherheit!



February 10, 2020

Vorsicht bei Tiernamen und Körperöffnungen!

Diese gehören nämlich nicht in Ihr CRM. Denn wenn mal die Aufsichtsbehörde vorbeischaut, kann es für Sie peinlich (und teuer) werden, wenn der Account Manager seinem Frust über den renitenten Kunden im CRM freien Lauf gelassen hat. So nun geschehen mit einem Unternehmen in Frankreich. Dem wurde von der französischen Aufsicht CNIL für eine Reihe von Datenschutzverletzungen ein Bußgeld in Höhe von 500.000 EUR aufgebrummt, u. a. für datenschutzwidrige Telefonwerbung, die Aufzeichnung von Kundengesprächen ohne Information, fehlende Kooperation mit der CNIL und eben für die Speicherung unangemessener Kommentare über Kunden im CRM-System. Dann den Mitarbeitern lieber andere Möglichkeiten zum Dampf ablassen geben (Sport?). In veterinärmedizinischen und gastroenterologischen Praxen dürfte die Sache mit den Tiernamen und Körperöffnungen übrigens nochmal anders gelagert sein.



February 4, 2020

Kein berechtigtes Interesse für Fotos auf Facebook?

Wer Fotos, auf denen Personen erkennbar sind, bei Facebook postet, kann dafür laut VG Hannover kein berechtigtes Interesse in Anspruch nehmen. Ein SPD-Ortsverband hatte ein Veranstaltungsfoto auf seiner Facebook-Fanpage gepostet, auf dem ein Ehepaar zu erkennen war. Das Foto wurde auf Beschwerde der Eheleute umgehend gelöscht, diese legten dennoch Beschwerde bei der Aufsichtsbehörde ein (vermuteter Beruf: Lehrer). Laut Gericht war die darauf ergangene Verwarnung der Aufsichtsbehörde rechtmäßig. Die Verwendung des Fotos in der Berichterstattung über die Veranstaltung sei durchaus zulässig, nicht jedoch bei Facebook. Damit würde eine nicht kontrollierbare Datenverarbeitung durch Facebook ausgelöst. Insofern bestünde weder nach KunstUrhG bei journalistischen Inhalten noch nach allgemeinen Grundsätzen ein berechtigtes Interesse.



December 2, 2019

SDM 2.0: Die DSGVO als Nacherzählung

In einem früheren Leben war ich mal Lehrer, ungelogen. Eine Aufsatzform im Deutschunterricht der Orientierungsstufe war damals die Nacherzählung. Daran erinnerte mich nun eine der letzten Veröffentlichungen der Datenschutzkonferenz: das Standard-Datenschutzmodell 2.0 (SDM). Die ersten zwei Drittel sind eigentlich eine in Prosa gefasste Wiedergabe der DSGVO. Was sich jetzt vielleicht nach Hohn und Spott anhört, ist tatsächlich keiner. Denn das Wirrwarr der DSGVO, gesetzgebungshandwerklich höchstens auf mäßigem Niveau, wird mit dem SDM 2.0 konsolidiert und durch die 7 Gewährleistungsziele mit einem roten Faden versehen. Mindestens Datenschutz-Anfänger finden mit dem SDM einen einigermaßen nachvollziehbaren Einstieg in die Umsetzung der DSGVO. Für Profis hält das SDM nicht viel Neues vor, in Teil D aber immerhin Anregungen für eine modernere Strukturierung der TOM.



November 29, 2019

Entwurf für einen Code of Conduct zum Einsatz DS-GVO Konformer Pseudonymisierung

Neulich wurde im Rahmen des Digital-Gipfel 2019 (vormals Nationaler IT-Gipfel) der Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung vorgestellt, den Vertreter aus Forschung, Wirtschaft und Gesellschaft (Fokusgruppe Datenschutz des Bundesinnenministeriums) erarbeitet haben. Mit dem Code of Conduct sollen Verhaltensregeln im Sinne von Art. 40 Abs. 2 lit. d) DS-GVO für eine datenschutzkonforme Pseudonymisierung beschrieben werden. Der Code of Conduct enthält hauptsächlich Prozessuale Vorgaben zum Einsatz und Betrieb einer Pseudonymisierung sowie Anwendungsbeispiele. Für die Finalisierung des Code of Conduct bedarf es noch der Genehmigung einer Aufsichtsbehörde sowie der Festlegung von Prozessen zur Kontrolle der Einhaltung des Codes. Die bereits formulierten Anwendungsbeispiele sollen zudem um sektorspezifische Good Practices erweitert werden.



November 5, 2019

Bußgeldkonzept der DSK

Die Datenschutzkonferenz hat im Oktober ihr achtseitiges DSGVO-Bußgeldkonzept veröffentlicht. Es soll nur auf Unternehmen bei nicht-grenzüberschreitenden Fällen angewandt werden und nicht auf Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Die Bußgeldfestsetzung erfolgt dabei in fünf Schritten:

1. Zuordnung des Unternehmens einer Größenklasse
2. Bestimmung des mittleren Jahresumsatzes der Untergruppe
3. Ermittlung eines wirtschaftlichen Grundwertes
4. Multiplikation des Grundwertes mit einem von der Schwere der Tatumstände abhängigen Faktor
5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger Umstände

Ob dieses Konzept auch zu verhältnismäßigen Geldbußen führen wird, ist fraglich. Denn ein großes Unternehmen erzielt automatisch einen höheren Grundwert, und die korrigierende Wirkung von Tat- und täterbezogenen Umständen bleibt unklar.



November 4, 2019

Profiling und Tracking im Internet nicht notwendig für Vertragsschluss

Der Europäische Datenschutzausschuss hat kürzlich eine Handreichung zur Verarbeitung personenbezogener Daten zum Zweck der Vertragserfüllung im Rahmen des Angebots und der Nutzung von Online Diensten veröffentlicht. Diese Form der Verarbeitung ist auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. b) EU-DSGVO datenschutzrechtlich zulässig, wenn sie zur Erfüllung eines Vertrags, dessen Person die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. So soll beispielsweise die Verarbeitung von Kreditkarteninformationen, von Rechnungsdaten sowie der Lieferanschrift an die Heimatadresse des Kunden im Rahmen eines regulären Online Einkaufs zulässig sein. Für den Fall, dass der Kunde beim Kauf die Lieferung an eine Abholstation ausgewählt hat, wird die Verarbeitung der Heimatanschrift zur Vertragserfüllung als nicht mehr erforderlich qualifiziert. Der Europäische Datenschutzausschuss hat zur Anwendung der Norm weitere Fallkategorien gebildet und dabei klargestellt, dass die Datenverarbeitung zum Zweck der Betrugsprävention bei Online Käufen ebenso wenig auf Art. 6 Abs. 1 lit. b) EU-DSGVO gestützt werden könnte wie Online Tracking und Profiling.



October 9, 2019

Verarbeiten Sie Sozialdaten im öffentlichen Auftrag?

Dann wundern Sie sich nicht, wenn die nächste Ausschreibung eine aktuelle ISO 9001 oder ISO 27001-Zertififzierung verlangt. Laut einem Beschluss der Vergabekammer des Bundes vom 19.07.2019 ist dies besonders durch die hohen gesetzlichen Anforderungen an die Sicherheit der Verarbeitung von Sozialdaten gerechtfertigt und wird auf § 49 Abs. 1 VgV gestützt. Dabei spielt es keine Rolle, ob der öffentliche Auftraggeber selbst zertifiziert ist, denn bei internen Prozessen könne man die Sicherheit der Verarbeitung schließlich selbst einschätzen.

Übrigens kann eine Werbeaussage „Zertifiziert nach ISO 9001“ auch bei ordnungsgemäßer Zertifizierung eine irreführende Wettbewerbsverletzung darstellen, wenn nicht klar ersichtlich ist, auf welche Dienstleistung sich die Zertifizierung bezieht, entschied das OLG Düsseldorf.



October 8, 2019

OLG Düsseldorf: Kartellamt vs. Facebook

Nachdem sich die Datenschutzaufsichtsbehörden schon länger für die Verarbeitung von Nutzerdaten durch Facebook interessierten, hatte zuletzt auch das Bundeskartellamt (BKartA) die Datenverarbeitung geprüft und festgestellt, dass Facebook seine Marktmacht durch den Umfang der Sammlung, Verwertung und Zuführung von Daten aus dem Nutzerkonto missbrauche. Aus diesem Grund hat das BKartA dem Unternehmen im Februar 2019 untersagt, Nutzerdaten aus verschiedenen Quellen zusammenzuführen. Gegen diese Anordnung hat Facebook beim OLG Düsseldorf Rechtsmittel eingelegt. Der 1. Kartellsenat des OLG Düsseldorf hat daraufhin Zweifel an der Rechtmäßigkeit der kartellbehördlichen Anordnung geäußert, da ein möglicher Verstoß gegen Datenschutzbestimmungen nicht zugleich einen Verstoß gegen das Wettbewerbsrecht bedeute. Über den Bestand der Anordnung des BKartA wird nun in dem beim OLG Düsseldorf anhängigen Beschwerdeverfahren entschieden werden.



September 3, 2019

Stößt sich Berlin am Datenschutz gesund?

Arm, aber sexy“ und alimentiert über den Finanzausgleich – damit ist in Berlin vielleicht bald Schluss, denn der Datenschutz könnte sich als interessante Einnahmequelle für das Land erweisen: Die Berliner Beauftragte für den Datenschutz informierte das Berliner Abgeordnetenhaus laut Medienberichten kürzlich über DSGVO-Bußgelder in Rekordhöhe, die sich gegen zwei Berliner Unternehmen abzeichnen. Das eine erhielt offenbar zwei Bußgeldbescheide in Höhe von insgesamt 200.000 EUR. Das andere darf sich wohl auf einen Bescheid im zweistelligen Millionenbereich freuen. Dies wären dann die bisher höchsten Bußgelder, die in Deutschland gemäß DSGVO verhängt wurden. Diese sieht Bußgelder von bis zu 20 Mio. EUR oder bis zu 4 % des gesamten Vorjahresumsatzes eines Unternehmens vor. In Berlin fließen die Bußgelder in den Landeshaushalt. Den Finanzsenator dürfte es freuen.



September 2, 2019

Zulässigkeit der Ausweiskopie

Im Geschäftsleben ist die Kopie des Ausweises schon länger ein beliebtes Mittel zur Identitätskontrolle. Dabei ist das Kopieren von Ausweisdokumenten überhaupt erst seit 2017 erlaubt. Nun darf nur der Inhaber selbst die Kopie vornehmen und diese an Dritte weitergeben. Die mit der Speicherung einer Kopie verbundene Verarbeitung der dort enthaltenen personenbezogenen Daten soll nur mit Einwilligung des Inhabers zulässig sein. Das ist deswegen problematisch, weil die Feststellung der Identität durchaus auch im Rahmen einer Vertragserfüllung oder eines berechtigten Interesses liegen kann. Ein Infopapier des LDI NRW zum Thema erwähnt die Einwilligung nur nebenbei und stellt ansonsten auf die Erforderlichkeit ab. Damit bleibt unklar, auf welchen Rechtsgrundlagen DSGVO abgestellt werden kann. In jedem Fall sollte die Kopie nicht dauerhaft gespeichert, sondern nach Identitätsfeststellung gelöscht werden.



August 1, 2019

Verteidigung der Persönlichkeitsrechte durch Flugabwehr #Drohnentod

Das Fliegen einer kameraausgestatteten Drohne über dem Nachbargrundstück ist keine kindlich-unschuldige Freizeitbeschäftigung, sondern eine Beeinträchtigung der Persönlichkeitsrechte der Nachbarn. Das musste ein Drohnenpilot vor dem Amtsgericht Riesa lernen, der mit der Drohne seines Cousins das gegen Blicke geschützte Nachbargrundstück überflogen, die Ehefrau des Nachbarn verfolgt und deren gemeinsame Kinder verängstigt hatte. Der Nachbar griff kurzerhand zum handelsüblichen Luftgewehr und holte die Beeinträchtigung der Persönlichkeitsrechte seiner Familie mit zwei Schüssen vom Himmel, was zum Totalschaden des Fluggeräts führte. Das Gericht sprach den Nachbarn vom Vorwurf der Sachbeschädigung frei, da dieser im bürgerlich rechtlichen Notstand (§ 228 BGB) gehandelt hatte. Erst luftgestützt ausspähen, dann noch Strafantrag stellen: Mimimi.



July 30, 2019

Bestellpflicht für Datenschutzbeauftragte

Der Datenschutzbeauftragte – für manche das Unwort des Jahres 2018. Die Pflicht zur Bestellung bestand zwar schon vorher,  viele beschäftigen sich trotzdem erst aus Anlass der DSGVO mit dieser Institution. Die Nachfrage stieg massiv an. Nun wird die Grenze für die Bestellpflicht von 10 auf 20 dauerhaft datenverarbeitende Personen angehoben. So hat es der Bundestag im 2. DSAnpUG-EU beschlossen. Kleinere Unternehmen sollen entlastet werden. Die müssen aber natürlich auch ohne DSB-Pflicht die Vorgaben der DSGVO weiter erfüllen. Hierzu hätte man besser beim Beratungsbedarf ansetzen sollen, nicht bei der Beratungspflicht. Viele Vorgaben des Datenschutzes sind immer noch ungeklärt oder so komplex und undurchdringlich, dass diese für Laien ohne Hilfe kaum umzusetzen sind. So manche gesparte DSB-Vergütung dürfte künftig direkt in verhängte Bußgelder fließen.



July 4, 2019

Kundendaten – Augen auf beim Unternehmenskauf

Werden Unternehmen verkauft, sind die Kundendaten oft besonders wertvoll. Sollen sie im Wege des Verkaufs an ein anderes Unternehmen übergehen (Asset Deal), ist beim Datenschutz Vorsicht geboten. Im Juli 2015 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) mitgeteilt, sowohl gegenüber dem Verkäufer als auch gegenüber dem Erwerber im Rahmen eines Asset Deal Geldbußen in fünfstelliger Höhe wegen datenschutzwidriger Übertragung von Kundendaten verhängt zu haben. Das veräußernde Unternehmen hatte die Kundendaten dabei in datenschutzrechtlich unzulässiger Weise übermittelt, während das erwerbende Unternehmen die Daten datenschutzwidrig erhoben hatte.

Als Guideline hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) (unter Ablehnung der Berliner – und der Sächsischen Aufsichtsbehörde) im Mai 2019 Hinweise zur Durchführung datenschutzkonformer Asset Deals beschlossen. Dabei wurden die folgenden Fallgruppen gebildet, die bei einer Prüfung des berechtigten Interesses (Art. 6 Abs. 1 f DSGVO) im Rahmen der Abwägung zu berücksichtigen sind.

  • Bei der Veräußerung von Kundendaten bei laufenden Verträgen soll die zivilrechtliche Genehmigung der Kunden nach § 415 BGB (Schuldübernahme) die datenschutzrechtliche Zustimmung zum Übergang der Kundendaten mit umfassen.
  • Personenbezogene Daten von Bestandskunden, bei denen die letzte Vertragsbeziehung länger als 3 Jahre zurückliegt, sollen übermittelt werden, aber nur zum Zweck der Erfüllung der gesetzlichen Aufbewahrungspflichten genutzt werden dürfen. Die Bestimmung der Frist ergibt sich aus der regelmäßigen 3-jährigen Verjährungsfrist im Sinne von § 195 BGB.
  • Kundendaten, die aus fortgeschrittener Vertragsanbahnung stammen, sowie Bestandskundendaten ohne laufendes Vertragsverhältnis, bei denen die letzte Vertragsbeziehung jünger als 3 Jahre ist, sollen mit Hilfe einer Widerspruchslösung (Opt-out) einschließlich 6-wöchiger Widerspruchsfrist übertragen werden dürfen. Dabei ist zu beachten, dass Bankdaten im Gegensatz zum Zahlungsverhalten davon nicht erfasst werden sollen. Die Übermittlung der Bankdaten bedarf einer datenschutzrechtlichen Einwilligung gemäß Art. 6 Abs. 1 a) in Verbindung mit Art. 7 DSGVO.
  • Liegt der Fall vor, dass offene Forderungen zivilrechtlich gemäß §§ 398 ff. BGB abgetreten werden, soll die Übertragung der Kundendaten auf der Rechtsgrundlage von Art. 6 Abs. 1 f) DSGVO erfolgen dürfen. Das soll jedoch nicht gelten, wenn eine Forderungsabtretung durch Vereinbarung ausgeschlossen ist (§ 399 2. Alt. BGB, § 354a HGB), da dann die schutzwürdigen Interessen der Betroffenen überwiegen.
  • Kundendaten, die zu besonderen Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO zählen, dürfen nach dem Willen des EU-Gesetzgebers nur mit einer ausdrücklichen Einwilligung der Betroffenen übermittelt werden.

Aus datenschutzrechtlicher Sicht ist beim Unternehmenskauf zunächst die konkrete Fallkonstellation zu bestimmen, um dann die Voraussetzungen für den Übergang von Kundendaten festzulegen. An der Klarstellung durch die Aufsichtsbehörden fällt positiv auf, dass nicht in allen Fällen eine datenschutzrechtliche Einwilligung erforderlich sein soll. Zudem bieten sich über die von der DSK genannten Lösungen hinaus noch weitere Gestaltungsmöglichkeiten an. Insbesondere ist jeweils zu überlegen, inwiefern einzelne Aufgaben im Rahmen der Überführung von Kunden auch im Wege einer Auftragsverarbeitung umgesetzt werden können.




April 5, 2019

das neue Gesetz zum Schutz von Geschäftsgeheimnissen

Der Bundestag hat das neue Gesetz zum Schutz von Geschäftsgeheimnissen am 21.03.2019 verabschiedet. Es wird voraussichtlich noch 2019 in Kraft treten. Damit werden sich die Voraussetzungen für das Vorliegen von Geschäftsgeheimnissen und deren Schutzumfang erheblich ändern. Insbesondere werden Informationen als Geschäftsgeheimnis nur dann geschützt sein, wenn angemessene Geheimhaltungsmaßnahmen zu ihrem Schutz getroffen wurden.

Lesen Sie weiter >



April 2, 2019

Ich – einfach Datenschutzvollstrecker

Sie machen womöglich sonntags gelegentlich einen entspannten Spaziergang. Sie schlendern dabei an dem ein oder anderen Haus vorbei und sehen als datenschutzrechtlich aufgescheuchter Mitbürger Kameras, die Sie beim Promenieren filmen. Wenn Sie jetzt denken: „Na und? Ich  habe nichts zu verbergen.“, können Sie hier aufhören, zu lesen. Anderenfalls stellen Sie sich womöglich die Frage: Kann ich mich dagegen wehren?
Lesen Sie weiter >



February 20, 2019

„5.000 Euro Bußgeld für fehlende Vereinbarung zur Auftragsverarbeitung!“ oder besser: „Wer um Bußgeld bettelt, wird erhört!“

Ein Unternehmen hatte bei der Aufsichtsbehörde angefragt, wie mit einem spanischen Auftragsverarbeiter zu verfahren sei, der sich weigerte, eine AV-Vereinbarung zu unterzeichnen. Auf den richtigen Hinweis der Behörde hin, dass der Abschluss der Vereinbarung gleichermaßen Pflicht des Auftraggebers sei, teilte das Unternehmen dann mehrfach – auch per Anwalt – mit, dem nicht Folge leisten zu wollen. Daraufhin erging das Bußgeld.

Lesen Sie weiter >



February 11, 2019

Facebooks “Gefällt mir”-Buttons nicht fashionable

Vom Generalanwalt des EuGH gibt es kein Like für Facebooks „Gefällt mir“-Button. Die Verbraucherzentrale NRW hatte das Unternehmen Fashion ID verklagt, da dieses auf seiner Website die besagten „Gefällt mir“-Buttons einsetzte, ohne die zu der Zeit geltenden datenschutzrechtlichen Anforderungen der Datenschutz-Richtlinie einzuhalten.

Lesen Sie weiter >



January 30, 2019

Verträge zur gemeinsamen Verantwortlichkeit

Wer kooperativ mit anderen Unternehmen Daten mit Personenbezug verarbeitet, geht meist davon aus, es liege eine Auftragsverarbeitung (AV) nach Art. 28 DSGVO vor. Die Auftragsverarbeitung ist tatsächlich die hergebrachte Lösung für vielerlei Konstellationen, wie z. B. für die Nutzung eines SaaS-Angebotes oder einer Cloud-Leistung. Folge: Es ist eine Auftragsverarbeitungs-Vereinbarung zu schließen.
Lesen Sie weiter >



January 22, 2019

Domainregistrierung: Inhaberdaten sind genug

Die DSGVO revolutioniert auch die Welt der Domains. Die DENIC erhebt seit Geltung der DSGVO keine Daten zum administrativen und technischen Kontakt (sog. Admin-C und Tech-C) mehr. Eine entsprechende Umstellung kündigte auch der Registrar EPAG an und zog sich damit den Unmut der für das weltweite Domainnamensystem verantwortlichen ICANN zu.
Lesen Sie weiter >



October 10, 2018

Das Recht auf Abwägung im Einzelfall

Das vom EuGH entwickelte „Recht auf Vergessenwerden“ und das Recht auf Löschung aus Art. 17 DSGVO sind nicht gleichzusetzen. Darauf wies zuletzt noch einmal das OLG Frankfurt hin, als es über einen datenschutzrechlichen Löschungsanspruch gegen Google entschied. Dies wird mit unterschiedlichen Abwägungskriterien begründet.

Ob eine Löschung durch die datenverarbeitende Stelle vorzunehmen ist, ist im Rahmen von Art. 17 DSGVO im Wege ein Abwägung im Einzelfall festzustellen. Dabei sind die Interessen des Betroffenen, mit den Interessen der Öffentlichkeit abzuwägen.
Lesen Sie weiter >



August 6, 2018

DSGVO und journalistische Bildberichterstattung

Sind Fotos von Personen ohne Einwilligung noch zulässig? Eine der vielen noch ungeklärten Fragen seit der DSGVO. Unklarheiten ergeben sich insbesondere aus dem Verhältnis der DSGVO zum Kunsturhebergesetz (KUG). Jedenfalls bezüglich der Bildberichterstattung von Medienunternehmen bringt das OLG Köln Licht ins Dunkel: Das KUG gilt im journalistischen Bereich auch unter der DSGVO fort.

Lesen Sie weiter >



July 31, 2018

Auftragsverarbeitung? Ja, nein, vielleicht?

Wonach entscheidet sich beim Outsourcen einer Datenverarbeitung, ob eine Vereinbarung zur Auftragsverarbeitung („AV“) zu schließen ist? Diese Frage beschäftigt nahezu alle Unternehmen. Liegt kein Fall der AV vor, wäre eine andere Rechtsgrundlage für die zulässige Verarbeitung zu finden. Handelt es sich um eine AV, sind die diversen Voraussetzungen des Art. 28 DSGVO zu erfüllen.

Lesen Sie weiter >



June 22, 2018

DSFA – Angst essen Seele auf?

Die DSGVO sieht in Art. 35 vor, dass bei einer Datenverarbeitung mit hohem Risiko für „Rechte und Freiheiten natürlicher Personen“ eine sog. Datenschutzfolgenabschätzung (DSFA) durchzuführen ist.

Folglich ist bei bestimmten Verarbeitungsvorgängen von personenbezogenen Daten abzuschätzen, welche Folgen sie für den Schutz dieser Daten haben. Wann dies der Fall ist, wird sehr allgemein und nicht abschließend in Art. 35 Abs. 3 DSGVO dargestellt. Eine Hilfestellung zur Risikobewertung fehlt.

Lesen Sie weiter >



June 21, 2018

WhatsApp, Slack und Co. in der betrieblichen Kommunikation…

Im Rahmen der Vorbereitung auf die DSGVO wurden in zahlreichen Unternehmen die datenschutzrechtlichen Prozesse auf den Prüfstand gestellt.

Eine Frage, die dabei erstaunlich oft aufkam: „Darf ich WhatsApp (oder andere Messenger-Dienste) auf dem Diensthandy bzw. dienstlich genutzten Privathandy nutzen?“. Die kurze Antwort lautet „Nein!“. Bei Installation wird nämlich das gesamte Adressbuch ausgelesen, wobei die Daten auf Servern in den USA landen.

Lesen Sie weiter >



June 14, 2018

TeleTrusT veröffentlicht revidierte und erweiterte Fassung der Handreichung zum „Stand der Technik“

Mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) verfolgt der Gesetzgeber das Ziel, Defizite in der IT-Sicherheit abzubauen. Daneben gilt seit dem 25.05.2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen. Beide Rechtsquellen fordern die Orientierung der IT-Sicherheit am Stand der Technik, lassen aber unbeantwortet, was im Detail darunter zu verstehen ist. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat seine Handreichung zum Stand der Technik überarbeitet und im Lichte neuer Erkenntnisse erweitert.

Lesen Sie weiter >



May 18, 2018

Wettbewerbsvorteil Datenschutz?

Die Quelle ist unbekannt, aber seit Jahren wird kolportiert, deutsche Unternehmen hätten einen Standortvorteil, ja einen Wettbewerbsvorteil durch das hiesige Datenschutzrecht. Bislang vor allem in Form des BDSG. Bemüht man die Suchmaschine seiner Wahl zu „Wettbewerbsvorteil DSGVO“ sind sich offenbar Viele einig: auch und gerade die DSGVO werde – nunmehr den Unternehmen der EU – einen Wettbewerbsvorteil bringen. Der Grund für diese Annahme liegt zwischen Wunschdenken und Realitätsverlust. Einen Beweis für diese Behauptung gibt es jedenfalls nicht.

Lesen Sie weiter >



May 11, 2018

Privacy by Design/ Privacy by default

“Privacy by Design” – das klingt ein bisschen nach einer gecasteten Boy-Band der späten Neunziger. Dahinter verbirgt sich aber in Wahrheit einer der Grundsätze zur Auswahl technischer und organisatorischer Maßnahmen. Zwar ist der dazugehörige Text von Art. 25 Abs. 1 nicht annähernd so eingängig wie die Hits der 90er, aber genauso nichtssagend. Im Ergebnis soll sich der Verantwortliche schon von Anfang an mit dem Datenschutz beschäftigen und nicht erst auf Verstöße reagieren. Hierfür hat der Verantwortliche bei Festlegung seiner Maßnahmen solche auszuwählen, die geeignet sind, die Datenschutzgrundsätze von Art. 5 wirksam umsetzen.

Lesen Sie weiter >




February 28, 2018

Datenschutzkonferenz zum Beschäftigtendatenschutz

Wer sich über die neuen Themen der DSGVO informieren möchte, muss ja eigentlich nur regelmäßig unseren Newsletter lesen. Wem das aber noch nicht reicht, der kann einen Blick in die Kurzpapiere der Datenschutzkonferenz der obersten Datenschützer der Länder (DSK) werfen. Zu zentralen Fragen der DSGVO gibt die DSK seit geraumer Zeit die angesprochenen Kurzpapiere heraus, so jetzt auch zum Beschäftigtendatenschutz.

Lesen Sie weiter >



Datenschutz Compliance out- oder insourcen?

Die Aussicht auf hohe Bußgelder hat die Umsetzung der DSGVO bei vielen Unternehmen immerhin auf die Agenda gesetzt. Bei manchem dürfte der Elan aber spätestens bei der Lektüre von Art. 32 verfliegen. Als Freund in der Not kann sich da der Datenschutzbeauftragte entpuppen. Für alle Unternehmen mit mehr als 9 Mitarbeitern ist die Bestellung ohnehin Pflicht.

Lesen Sie weiter >




January 5, 2018

Am Anfang steht die Schutzbedarfsanalyse

Die Datenschutz-Grundverordnung sieht einen risikobasierten Ansatz zum Schutz personenbezogener Daten vor. Doch was bedeutet dies nun für die Umsetzung von Schutzmaßnahmen in der Praxis? Die Verordnung verpflichtet sowohl Unternehmen als auch die öffentliche Verwaltung dazu, datenverarbeitende Prozesse angemessen abzusichern. Dabei sind Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte Betroffener zu berücksichtigen.

Lesen Sie weiter >